【技术实现步骤摘要】
一种威胁检测方法、装置、电子设备及可读存储介质
[0001]本申请涉及网络安全
,尤其涉及一种威胁检测方法、装置、电子设备及可读存储介质。
技术介绍
[0002]随着互联网的快速发展,威胁不断加剧,网络安全隐患越来越多,对网络环境进行攻击,这样,可能破坏网络环境如企业中的重要装置,引发较大的经济损失,由此网络环境安全越来越被重视。现有技术中,对威胁的检测往往会产生大量异常流量信息,通过列出异常流量信息或对流量信息含有的威胁要素进行统计,难以确定其中具有较大风险的或有较高价值的威胁信息,导致网络环境的安全性较低。
技术实现思路
[0003]有鉴于此,本申请实施例提供一种威胁检测方法、装置、电子设备及可读存储介质,便于提高网络环境的安全性。
[0004]第一方面,本申请实施例提供一种威胁检测方法,包括:获取流量日志;对所述流量日志进行解析,得到所述流量日志的威胁要素信息;根据所述流量日志的威胁要素信息,对所述流量日志进行聚合,基于聚合后的威胁事件得到威胁事件集;根据预设的评分规则,对所述威胁事件集进...
【技术保护点】
【技术特征摘要】
1.一种威胁检测方法,其特征在于,包括:获取流量日志;对所述流量日志进行解析,得到所述流量日志的威胁要素信息;根据所述流量日志的威胁要素信息,对所述流量日志进行聚合,基于聚合后的威胁事件得到威胁事件集;根据预设的评分规则,对所述威胁事件集进行评分;根据所述评分确定所述威胁事件集的威胁程度。2.根据权利要求1所述的方法,其特征在于,所述根据所述流量日志的威胁要素信息,对所述流量日志进行聚合,基于聚合后的威胁事件得到威胁事件集,包括:根据所述流量日志的预设威胁要素,对所述流量日志进行聚合,得到威胁事件,同一所述威胁事件下的各所述流量日志对应的所述预设威胁要素相同;根据所述预设威胁要素中的至少一个目标威胁要素,分别对所述威胁事件进行聚合,得到威胁事件集,同一所述威胁事件集下的各所述威胁事件对应的所述目标威胁要素相同。3.根据权利要求2所述的方法,其特征在于,所述流量日志的预设威胁要素包括:攻击来源IP、受攻击IP、威胁类型、检测方式和威胁名称;所述根据所述流量日志的预设威胁要素,对所述流量日志进行聚合,得到威胁事件,包括:根据所述攻击来源IP、所述受攻击IP、所述威胁类型、所述检测方式和所述威胁名称,对所述流量日志进行聚合,得到威胁事件;所述目标威胁要素包括:攻击来源IP、受攻击IP和威胁名称;所述根据所述预设威胁要素中的至少一个目标威胁要素,分别对所述威胁事件进行聚合,得到威胁事件集,包括以下至少一项:根据所述攻击来源IP对所述威胁事件进行聚合,得到攻击来源IP事件集;根据所述受攻击IP对所述威胁事件进行聚合,得到受攻击IP事件集;根据所述威胁名称对所述威胁事件进行聚合,得到威胁名称事件集;所述根据预设的评分规则,对所述威胁事件集进行评分,包括:根据预设的评分规则,分别对所述攻击来源IP事件集、所述受攻击IP事件集和所述威胁名称事件集进行评分。4.根据权利要求1所述的方法,其特征在于,在所述威胁事件集中包括评分要素;所述根据预设的评分规则,对所述威胁事件集进行评分,包括:根据预设的评分要素与分数的对应关系,对所述威胁事件集进行评分。5.根据权利要求4所述的方法,其特征在于,所述评分要素包括以下至少一项:攻击来源IP的个数、受攻击IP的个数、攻击来源IP所属的地域、同一攻击源IP出现的次数、同一受攻击IP出现的次数、产生所述流量日志的资产等级、所述流量日志的威胁等级、最新威胁事件产生的时间、单位时间内威胁类型的个数、所述流量日志中标记的资产活跃时间、所述流量日志对应的资产使用频率。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:将评分超过预设数值的所述威胁事件集信息向管理员发送。
7.一种威胁检测装置,其特征在于,包括:获取模块,用于获取流量日志;解析模块,用于对所述流量日志进行解析,得到所述流量日志的威胁要素信息;聚合模块,用于根据所述流量日志的威胁要素信息,对所述流量日志进行聚合,基于聚合后的威胁事件得到威胁事件集;评...
【专利技术属性】
技术研发人员:吴晨,董晓齐,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。